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摘 要 : 针对 无 线 体 域 网 中 节点 身份 认证 问题 ,在 传统 椭圆 曲线 签名 算法 的 基础 上 ， 提 出 了 一 种 新 的 在 线 \ 离 线 椭圆 曲 
线 签名 方案 。 该 方案 在 未 确定 签名 消息 之 前 进行 离线 签名 ， 在 确定 要 加 密 的 消息 和 身份 私 钥 之 后 进行 在 线 签 名 。 对 该 
方案 进行 了 安全 性 分 析 ， 证 明了 其 具有 正确 性 、 不 可 伪造 、 不 可 和 否认 、 托 御 重 放 攻 击 、 轻 量 级 的 优点 ， 同 时 通过 运算 
量 的 对 比分 析 ， 表 明 该 方案 由 于 取消 了 求 逆 运算 ， 具 有 较 大 的 计算 优势 。 
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Research on node authentication scheme in wireless body area networks 
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Abstract: Based on traditional elliptic curve digital signature scheme, this paper proposed a new online/offline elliptic curve 
digital signature scheme to solve the node authentication problem in wireless body area networks. In this scheme, offline 
signature would be done before the signatures ware confirmed, and online signature would be done after the information and 
private key ware confirmed. It made the security analysis to prove that the scheme has validity, anti-falsification, non-repudiation, 
avoided replay attack and lightweight. Compared with calculation, this scheme doesn’t need the inverse operation, which shows 
the advantages of calculation. 
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应 用 前 景 。 它 由 Vanstone 在 1992 年 对 NIST 的 DSS 回应 的 建 
议 中 提出 来 四 。 但 是 到 1998 年 才 被 接纳 为 I SO 国际 标准 化 组 
:二 无 线 体 域 网 中 是 由 一 些 放置 在 人 体 表 面 或 者 植 入 人 体内 部 织 ) 接纳 为 标准 (ISO1488-3 ) 。 在 国外 ， 主 要 是 针对 一 些 具体 
区 的 传感器 以 及 一 些 可 移动 终端 所 组 成 的 以 人 体 为 中 心 的 网 络 。 应 用 的 椭圆 曲线 签名 方案 的 研究 所 习 ， 在 国内 ， 有 ECDSA 的 硬 
随 着 人 们 对 无 线 体 域 网 的 深入 研究 ， 无 线 体 域 网 的 安全 问题 越 件 VLSI 设计 四 、 基 于 FPGA 的 签名 芯片 的 开发 中 等 。 

来 越 受 到 人 们 的 重视 ,身份 认证 在 信息 安全 中 具有 特殊 的 作用 ， ， 

大 多 数 情况 下 是 与 密 钥 协商 等 方法 结合 起 来 作为 一 个 大 的 整体 1 ”基于 椭圆 曲线 的 签名 方案 

信息 保护 方案 被 提出 。 身 份 认证 是 身份 识别 (identification) 和 身 椭圆 曲线 有 限 群 上 的 数字 签名 方案 (如 Okamoto、ELGamal、 
份 认 证 (authentication) 的 统称 , 是 用 来 验 明 用 户 是 否 具备 所 请 求 DSA、Schnorr 等 ) 均 基于 的 是 离散 对 数 难 题 四 。 在 讨论 分 析 中 ， 
资源 的 使 用 和 存储 权 ， 即 验证 查核 用 户 身份 的 过 程 。 身 份 认 证 对 椭圆 曲线 签名 方案 的 基本 参数 有 如 下 约定 : 

中 最 为 关键 的 是 可 以 准确 无 误 地 将 对 方 辨认 出 来 。 在 体 域 网 系 
统 当 中 ， 人 们 需要 的 是 对 节点 之 间 的 身份 进行 相互 的 认证 。 节 
点 间 的 身份 认证 是 体 域 网 生理 信息 安全 传输 的 首要 保障 ， 一 日 司 曲线 ， 在 椭圆 曲线 上 随机 的 选取 一 个 点 作为 基点 P, 设 1 是 n 
节点 间 的 身份 认证 体系 被 攻破 ， 那 么 整个 传输 系统 的 所 有 安全 的 大 数 因子 ， 玖 (.) 为 单 向 hash 函数 。 这 样 基 于 椭圆 曲线 离散 
措施 便 将 形同虚设 。 对 数 问题 的 数字 签名 方案 (elliptic curve digtial signature ) 可 描 
因此 设计 安全 的 认证 协议 来 保障 体 域 网 数据 传输 的 安全 。 述 如 下 。 

近年 来 ， 椭 圆 曲 线 密码 机 制作 为 很 重要 的 一 种 且 近 来 受到 广大 1.1 初始 化 过 程 

研究 者 的 热 捧 ， 有 其 衍生 出 的 槛 圆 曲线 签名 算法 所 具有 广阔 的 完成 参数 初始 化 之 后 ， 需 要 分 发 密 钥 。 在 人 们 的 环境 
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节点 A、B 的 基本 密 钥 对 是 根据 算法 Q = dP 产生 的 ， 其 私 钥 
ds4,dp， 公 钥 Q4,Qg 作为 公开 参数 被 公开 允许 任何 节点 访问 ， 
待 签名 的 消息 为 m， 签 名 值 为 5。 
1.2 签名 过 程 
这 里 本 文 以 汇聚 节点 B 验证 采集 节点 A 的 身份 作为 示例 。 
具体 签名 步 又 如 下 : 
a) 节 点 A 计算 消息 m 的 摘要 值 H(m) 


朱 斌 ， 等: 无线 体 域 网 中 节点 认证 方案 研究 
信和 前 的 请 求 和 认证 ， 同 时 有 效 防 止 了 重 放 攻击 对 用 户 私 钥 进行 
破解 。 

但 是 该 方案 具有 以 下 的 不 可 靠 性 : 


a) 在 以 上 的 数字 签名 方案 中 ， 发 送 节点 是 不 能 否认 自己 曾 
经 发 送 过 得 消息 的 ， 而 对 接收 节点 却 没 有 任何 约束 ， 这 样 就 可 
能 存在 两 种 情况 : 
(9) 接 收 节点 已 经 阅读 了 消息 ， 事 后 却 和 否认 自己 曾 接受 过 该 

胆 是 


b) 节 点 A 随机 选择 一 个 大 整数 ke[l,n 一 1] ， 计 算 


Q=kxP=(Q,,0,):; 
oj 这 里 设 签名 方程 O. = [8 一 如 (m) x 们 xd4 ， 由 该 签名 
方程 求解 可 得 签名 S。 


S = 万 (DJxk+Oxd (D 


d) 贡 点 A 将 (2 S) 作 为 消息 六 的 数字 签名 发 送 给 节点 B。 
1.3 ”认证 过 程 

当 接收 者 节点 B 收 到 消息 m 和 数字 签名 〈Q,S) 后 ， 可 以 
按照 以 下 步 又 对 待 核实 的 消息 签名 进行 认证 : 

a) 节 点 B 用 消息 摘要 算法 计算 消息 m 的 摘要 值 忌 (zz) ; 

b) 节 点 B 查询 节点 A 的 公 钥 Q4 ， 将 收 到 的 签名 分 解 出 来 
得 到 0O、S 和 QO,; 

oj 将 8、 瑟 (ma) 和 @ 代入 验证 方程 : 

HmxQ=SxP-Q.,.xOh (2) 


判断 签名 的 
真 伪 


图 1 ECDS 方案 的 工作 过 程 


1.4 安全 性 分 析 
上 述 数字 签名 方案 的 正确 性 证 明 如 下 : 


SxP-0.xQ,={H(m)xk+O,.xds}xP-QO,.xOn 
=H(m)xkxP+QO, xds xP—-Q,xOn 
=H(mxQ+Q. XQ4 -QO. xO4 
=H(mx0Q 

所 以 ，ECDS 数字 签名 方案 是 正确 的 。 该 方案 中 节点 A 和 

B 分 别 使 用 自己 的 私 钥 进行 了 信息 的 加 密 ， 非 法 的 攻 
获取 了 私 钥 才能 进行 攻击 ， 而 私 钥 的 获取 是 基于 椭圆 
对 数 的 一 个 难题 。 除 此 之 外 ， 攻 击 者 无 法 推测 出 采集 端点 的 口 


消息 。 例 如 接受 节点 接收 并 阅读 到 了 一 条 消息 ， 
失 并 否认 自己 曾 接收 过 该 消息 。 

(b) 接 收 节点 故意 拖延 阅读 时 间 ， 以 作出 对 自己 更 有 利 的 决 
定 。 例 如 发 送 节 点 在 上 午 10 点 之 前 将 信息 发 送 给 接收 节点 , 而 
接收 节点 此 时 因为 某 些 原因 没有 实时 处 理 ，10 点 以 后 才 开始 处 
未 实时 发 送 签名 信息 从 


理 信 息 ， 结 果 事 后 反而 指责 发 送 节点 
而 完成 认证 。 

收 方 不 可 否认 数字 签名 方案 就 是 为 了 解决 这 些 问 题 而 提出 
来 的 。 在 这 一 方案 中 ， 没 有 签名 者 的 合作 ， 接 收 方 就 无 法 验证 
签名 ， 这 使 得 发 送 节点 的 利益 得 到 某 种 程度 上 的 保护 。 而 当 涉 
及 到 与 时 间 相 关 的 通信 时 ， 还 需要 引入 时 间 戳 的 概念 ， 记 录 双 
方 通信 的 时 候 和 阅读 情况 ， 以 确定 责任 归属 。 但 是 时 间 惟 对 系 
统 要 求 比 较 高 ， 需 要 很 强 的 时 钟 同 步 ， 无 线 体 域 网 中 的 节点 能 
力 有 限 ， 所 以 时 间 惟 方法 并 不 适用 ， 可 以 采用 随机 数 来 保证 消 
息 的 新 鲜 性 。 

b) 在 该 签名 S 的 计算 中 ， 不 仅 有 数 乘 运算 和 加 法 运算 ， 同 
时 还 有 求 逆 运算 ， 对 于 大 整数 求 逆 是 比较 耗 时 的 一 种 运算 ， 使 
扩展 的 欧 几 里 得 算法 平均 也 需 完成 0.843 log ,n+1.47 次 除 
法 。 因 此 若 能 减少 求 逆 运算 , 则 可 以 提高 签名 和 验证 的 计算 量 ， 
从 而 提高 系统 速度 。 

轻 量 级 的 方案 对 于 体 域 网 而 言 是 相当 重要 的 ， 因 为 体 域 网 
网 络 环境 以 及 体 域 网 中 节点 的 特殊 性 ， 尤 其 对 其 中 只 有 很 小 的 
存储 量 和 有 限 的 计算 能 力 的 节点 芯片 而 言 ， 所 以 除了 将 求 逆 运 
算 化 为 普通 数 乘 运算 的 同时 , 引入 在 线 /离线 技术 将 具有 很 大 的 
计算 优势 。 


2 在线 /离线 椭圆 曲线 签名 方案 


2.1 在 线 /离线 签名 系统 

在 线 /离线 签名 系统 中 ， 签 名 运算 被 分 解 成 两 个 过 程 : 第 一 
个 过 程 被 称 为 离线 签名 ， 即 在 未 确定 签名 消息 之 前 所 做 的 签名 
运算 ， 第 二 个 过 程 被 称 为 在 线 签名 ， 即 在 确定 要 加 密 的 消息 和 
身份 私 钥 之 后 所 做 的 签名 计算 。 该 签名 技术 使 得 在 线 阶段 消耗 
较 少 的 资源 ， 而 离线 阶段 进行 大 部 分 的 计算 。 这 种 签名 方案 对 
于 计算 能 力 有 限 的 设备 (尤其 是 体 域 网 中 的 节点 设备 ) 来 说 是 
非常 有 用 的 。 

在 线 /离线 签名 (OS) 系统 包括 KeyGen、OffSign、OnSign、 
Ver 四 种 算法 , 分 别 是 密 钥 生 成 、 离 线 签名 、 在 线 签名 及 签名 验 


Si 


um 


令 原文 ， 因 而 也 无 法 通过 认证 过 程 。 因 此 该 方案 有 具有 一 定 的 安 
全 性 保护 。 另 外 ， 随 机 数 的 选取 不 仅 保证 了 节点 A 和 B 在 通 


证 。 


KeyGen: 这 是 一 种 概率 多 项 式 时 间 算 法 。 该 算法 


PKG 执 
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行 。 输 入 一 个 安全 参数 ]t ， 输 入 用 


户主 参数 params、 私 钥 SK 


输入 用 
输入 在 线 签名 on ， 
Om = (ZW ,5™") o 


Ver: 这 是 一 种 


/ 忆 \ 


否则 输出 reject 拒绝 该 签名 。 


和 对 应 的 公 钥 PK 。 
OffSign: 这 是 一 种 由 签名 者 执 
输入 用 户主 参数 params、 私 钥 SK 和 对 


行 的 概率 多 项 式 时 间 算 法 。 
应 的 公 钥 PK。 


OnSign: 同样 这 也 是 由 签名 者 执行 的 概率 多 项 式 时 间 算 法 。 
户主 参数 params、 私 钥 SK、 待 签 消息 M 和 状态 信息 St， 
得 到 最 终 关 于 消息 


M 的 签名 为 


验证 者 执行 的 多 项 式 时 间 算 法 , 不同 的 是 


户主 参数 params、 被 签 消 


该 多 项 式 时 间 算 法 是 确定 的 。 输 入 用 
M、 签 名 a, 和 公 钥 PK。 如 果 签 名 是 有 效 的 ， 输 出 accept; 


加 


节 所 提出 的 椭 
力 


岗 在 构造 一 个 新 的 在 线 /离线 签名 方案 , 该 方案 是 基于 上 
线 的 签名 方案 。 原始 的 椭 


en 


方案 并 不 能 直接 实现 在 线 /离线 签名 ，ECDS 改 成 OS 的 一 般 方 


法 是 借助 变色 龙 哈 希 来 实现 。 安 全 
意 可 证 明 安 全 的 签名 方案 到 


龙 哈 希 如 下 所 述 。 


OS 签名 的 一 般 构造 中 ， 而 这 里 的 
椭圆 曲线 签名 方案 已 经 有 相当 多 的 文献 证 明了 其 安全 性 。 


的 变色 哈 希 实现 可 以 实现 任 


变色 


设 G 是 一 个 p 阶 循环 群 而 且 g 
地 选择 一 个 值 y 来 自 Z，, 同 时 随机 
EN 


= 起 


fg， = 8 。 那 么 验证 公 钥 是 


哈 希 输入 元 素 是 一 组 来 自 


是 群 G 的 一 个 生成 元 。 随 机 
选择 一 个 群 G 的 生成 元 g， 
(8,8，) ， 私 钥 是 y。 变 色 龙 


Z 的 元 素 (m,7) ， 输 出 元 素 是 一 个 


来 自 G 的 元 素 。 具 体 的 变色 龙 哈 希 定义 如 下 : 


H(mr)=g' 82 


给 一 个 新 的 友基 太 ， 使 得 
且 (m',7")= 寻 (m,r)。 因 此 ， 只 要 变色 龙 哈 希 具有 安全 性 
击 者 仅仅 获取 到 (m,7, 如 (mm,r)) ， 那 么 任何 攻击 者 都 不 能 够 在 


G3) 


=(m 一 1m')y+r ， 从 而 有 
日 攻 


多 项 式 时 间 内 找到 一 组 新 的 Gm,7") ， 以 至 于 在 m' 关 m 时 ， 


及 (m',r)= 及 (Um,7) 是 成 立 的 。 
2.2 在线 /离线 椭圆 曲线 签名 方案 
有 了 变色 龙 哈 希 的 存在 ， 就 可 
如 下 的 在 线 /离线 椭圆 
五 个 阶段 ， 分 别 是 系统 初始 化 阶段 
阶段 、 在 线 签名 阶段 和 
a) 系 统 初始 化 阶段 。 


签名 认证 阶段 。 各 阶段 流程 如 下 : 


以 进行 适当 的 改动 ， 便 有 了 


线 签名 (ECDSOS) 方案 。 此 方案 包含 


、 密 钥 生 成 阶段 、 离 线 签名 


初始 化 主要 是 完成 参数 的 初始 化 以 及 系统 的 准备 工作 。 设 


EE,(a, 也 ) 是 定义 在 有 限 域 上 的 一 条 安全 梢 
E,(a,b) 上 的 有 理 点 构成 的 群 的 阶 能 够 被 一 个 大 的 素数 n 整除 。 


在 曲线 上 随机 选取 一 个 点 作为 基点 


| 


息 被 公开 。 设 (1 ) 一 (2,G) 


AN ID 


曲线 ， 该 曲线 


天 | 


曲线 签名 (ECDS) 


签名 者 , B 是 对 节点 A 进行 身份 认证 的 节点 。M 是 一 个 消息 空 
间 ， 表 示 原 生理 信息 ，M ={0,1}) ，M,, 表示 节点 A 的 签名 许 


可 凭证 ， 其 中 包含 节点 A 的 身份 信息 
钥 信 息 等 内 容 。 

b) 密 钥 生 成 阶段 。 

节点 A 随机 选择 dh & 2Z, 作为 私 


(MAC 和 了 D 信息) 、 公 


钥 ， 椭 圆 基 点 为 P， 计算 


河 


公 钥 Q4 = 二 d4P==(Q4.,Q4y)。 存 储 密 钥 d4 和 公布 公 钥 


(G1,G,,H,P,04). 

0) 离 线 签名 阶段 。 

节点 A 随机 选择 
U=Q4xm+Pxr。 存 储 状态 信息 
= 已 (0) ， 并 输入 离散 签名 ar' 。 

d) 在 线 签 名 阶段 。 


计算 生 
名 rr'。 


上 
+ 1 /Gs M 


r={m—H(M)}ds +r 


而 后 加 上 属于 节点 A 的 签名 许可 
M 的 完整 签名 是 ov， = (ar ,MX )， 
时 使 ) 
节点 B。 

9) 签名 认证 阶段 。 


个 整数 m,reZ，， 并 计算 


(7,m) ， 计 算 离线 签名 


节点 A 恢复 出 状态 信息 74,7 。 对 于 待 签 的 生理 信息 ， 首 先 
的 摘要 值 及 (M)，, 然后 计算 消息 M 的 在 线 签 


(4) 


凭证 M,， 最 后 关于 消息 
将 其 发 送 给 节点 B， 同 


混合 加 密 算 法 中 的 共享 密 钥 加 密 传 输 状 态 信息 (7,1m) 给 


节点 B 在 接收 节点 A 发 来 的 签名 信息 oy =(o",7',M,,) 
之 后 , 这 里 假设 是 oy 一 个 有 效 地 关于 M 的 签名 , 输入 验证 公 


钥 (Gi,G,,H,P,0Q), 利 
摘要 算法 计算 消息 


已 接受 至 
M 的 摘 


计算 


1 的 生理 消息 M， 
要 值 HM)， 


WU'= OQ4 x 及 (M)+Pxr', 而 后 验证 方程 及 (wu') = 0"' 是否 成 立 。 


如 果 Ca" 是 关于 了 的 
点 B 完成 对 节点 A 的 身份 认证 ; 
身份 认证 。 


A 


了 效 签名 , 即 


该 验证 方程 成 立 , 那么 节 


否则 节点 A 未 通过 节点 B 的 


同时 节点 B 将 状态 信息 解密 出 来 计算 R=r+m 后 ， 同 样 
用 节点 A，B 的 共享 密 钥 发 回 给 节点 A。 


3 ”安全 性 分 析 


1) 正 确 性 分 析 
若 签 名 合法 , uw'= QO4 XH(M)+ 
点 A 发 来 的 签名 消息 后 (该 签名 消息 


Pxr' ,节点 B 在 接收 节 
.包含 离线 签名 o' 、 在 线 


签名 产 以 及 节点 A 的 签名 许可 凭证 M,, ) ， 对 生理 信息 M 的 


P， 以 P 作为 生成 元 对 椭 罗 


线 记 , (4,b) 上 的 加 法 运算 构成 了 一 个 循环 子 群 <P>， 其 阶 为 
， 并 且 满 足 条 件 nP= O ，0 表示 一 个 无 穷 远 点 。 基 点 了 作为 


,G2,E)， 其 中 G1,G, 都 是 p 


阶乘 法 循环 群 。 同 时 设 单 向 Hash 函数 及 :{0,1} -> G,。 每 个 


参与 身份 认证 的 节点 都 有 一 个 MAC 地 址 和 


个 唯 


的 身份 标 


志 符 ID, 这 些 信息 代表 了 需要 认证 


节点 的 身份 信息 。 节 点 A 为 


摘要 值 及 (M ) 以 及 在 线 签 名 产 做 以 


上 的 相关 运算 ， 因 为 存在 


如 下 的 等 式 成 立 : 
u=QA xH(M)+Pxr 


=QaxH(M)+mxQ4 -HM)xQa +Pxr 


=mxQAs+Pxr 
=u 
显然 有 五 (U')= 厂 (4)=o' 成 立 。 
签名 消息 做 相关 运算 后 求解 出 鼠 (z) 
比较 。 若 相等 ， 


则 可 认为 签名 有 效 ， 节 点 B 完成 对 节点 A 的 身 


那么 节点 B 通过 收 到 的 
与 收 到 的 离线 签名 o" 做 
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录用 稿 朱 ” 斌 ， 等 : 无 线 体 域 网 中 节点 认证 方案 研究 
份 认证 ; 若 不 相等 ， 则 表示 签名 无 效 ， 节 点 A 无 法 通过 节点 B 普通 的 椭圆 曲线 签名 算法 中 签名 需要 使 用 道 运算 ， 而 本 文 
的 身份 认证 。 所 提出 的 算法 所 有 的 运算 都 是 数 乘 和 加 减法 运算 ， 逆 运算 的 减 

2) 不 可 伪造 性 少 可 以 提高 签名 和 验证 的 计算 量 ， 再 者 通过 采用 将 签名 的 预计 


攻击 者 C 要 破解 签名 者 节点 A 的 签名 密 钥 d4 ， 需 要 通过 。 算 (自然 地 将 签名 分 解 出 一 些 可 以 提前 计算 的 部 分 )， 使 得 在 


求解 方程 r={m 一 及 (M)}d4 +r 获取 。 在 第 2 章 混合 加 密 算 。 线 加 密 消耗 较 少 的 资源 ， 提 高 在 线 加 密 的 效率 ， 从 而 提高 系统 
法 的 保证 F， 消 息 M 是 不 会 有 任何 泄露 的 。 方 程 中 有 现 ， 速度 ， 使 得 本 文 的 方案 轻 量化 ， 更 适应 计算 能 力 有 限 的 体 域 网 
及 CM) ，7 作为 未 知 数 ， 并 不 能 求 出 签名 密 钥 d4 ;车 攻击 者 各局 

C 截获 签名 ay = (0',7',M,,) ， 通 过 a' 获取 站 并 不 可 能 ， 因 

为 这 是 一 个 单项 散 列 函数 的 逆向 求法 ， 是 不 可 能 实现 的 ,攻击 4 ”效能 比较 


者 C 可 以 通过 暴力 手段 获取 到 状态 信息 (7,m) , 攻击 者 C 获得 0 
一 对 (0',r') ， 但 是 方程 中 始终 有 两 个 未 知 参数 4 和 HM) 相关 文献 可 知 ， 计算 素数 或 椭圆 曲线 上 的 点 加 需要 1 


-二 | 1 1 1 1 1 1 求 道 运 》 个 平方 运 》 个 乘法 运 入 uo 这 里 分 昂 符号 
若 获 得 多 对 有 效 签 名 (al (oo (ay 但 是 每 求 逆 运算 ，1 个 平方 运算 ，2 个 乘法 运算 这 里 分 别 用 符号 


l 


次 序列 产生 时 豆 (M ) 都 是 由 生理 信息 生成 的 , 生理 信息 的 伪 随 。 M、S 和 工 来 表示 有 限 域 C/(P) 中 的 乘法 运算 、 平 方 运算 和 求 


机 性 使 得 求解 d4 的 方程 组 没 增加 一 个 同时 也 会 增加 一 个 未 知 。” 递 运算 的 计算 量 , 那么 点 加 运算 量 即 II2M+S, 其 中 常 系数 同 域 
数 电 (MM ), 并 且 状 态 信 息 也 是 每 次 都 会 变化 , 故 也 没有 办 法 在 。” ”元 素 的 乘法 计算 开销 可 以 忽略 不 计 。 假 设 在 仿 射 坐标 系 下 ， 表 
多 项 式 时 间 内 解 出 d4 ; 若 已 知 Q4 求 44 ， 则 困难 性 等 价 于 求 。 ”1 总结 了 有 限 域 GF(p) 上 相关 运算 的 计算 量 0。 

椭 


加 曲线 离散 对 数 问题 ， 因 此 是 不 行 的 。 表 1 有 限 域 GF(p) 上 相关 运算 的 计算 量 
有 了 以 上 对 于 私 钥 dj 的 不 可 求解 性 ， 那 么 攻击 者 C 和 欲 产 运算 计算 量 
生 “ 合 法 ”签名 。 他 需要 通过 选择 合适 ,7 构造 C' 以 及 合适 的 点 加 运算 TH2MHS 
dj 和 已 (CA4 ) 来 构造 x'。 并且 本 文 的 方案 是 由 变色 龙 哈 希 演变 二 倍 乘 运算 Ta2MH2S 


而 来 ， 同 样 变 色 龙 哈 希 在 多 项 式 时 间 内 是 找 不 到 一 组 新 的 
(m',7') 以 至 于 在 1e 基 帮 时 ， 瓦 0 状 = 刀 GO:7) 是 成 立 的 。 
前 面 的 分 析 dj 的 不 可 求解 性 和 忌 CAd ) 是 绝对 安全 性 ， 以 及 
借鉴 的 变色 龙 哈 希 可 知 ， 该 方案 是 满足 不 可 伪造 性 的 。 


三 倍 乘 运算 NS 
现在 对 在 线 /离线 椭圆 曲线 签名 和 椭圆 曲线 签名 作 一 个 比 
较 ， 有 了 以 上 对 于 不 同 运算 所 产生 的 不 同 计算 量 的 考量 ， 这 里 
oo 主要 考虑 两 者 在 运算 方式 上 的 差异 ， 如 表 2 所 示 ， 分 别 统计 了 
签名 验证 时 ,首先 需要 验证 w= CAx 瓦 CA)+ 已 x 关 的 正 Re 
确 性 。 显 然 ， 节 点 A 的 公 钥 OA 参与 验算 ， 否 则 验证 不 通过 ， 。 案 中 签名 方程 和 验证 方程 所 包含 的 该 运算 方式 的 次 数 。 


且 7'={m 一 及 CM)}4d 二 r ， 由 不 可 伪造 性 分 析 可 知 ， 节 点 A 本 
的 私 钥 是 随机 生成 的 ， 攻 击 者 是 无 法 伪造 同样 的 私 钥 的 。 这 是 二 
因为 私 钥 是 不 公开 的 , 想 要 通过 公 钥 获取 私 钥 是 不 可 能 实现 的 ， 

因为 他 将 面临 ECDLP。 因此 ,所 有 签名 者 的 私 钥 和 公 钥 都 参与 数 乘 运算 5 5 

了 签名 的 构造 ， 当 签名 完成 时 ， 也 就 表明 所 有 人 参与 了 签名 的 求 和 运算 2 4 

过 程 ， 满 足 不 可 否认 性 。 而 对 于 节点 B 而 言 ， 因 为 加 入 了 随机 求 逆 运 算 , 


数 的 信息 ， 一 旦 节点 B 处 理 了 签名 消息 ， 将 会 有 一 个 相应 的 随 
机 数 返回 给 节点 A， 节 点 B 也 就 无 法 抵赖 ， 满 足 不 可 否认 性 。 
4) 抵 御 重 放 攻 击 


通过 对 表 中 数据 的 分 析 ， 可 以 很 清楚 地 知道 ， 本 文 所 提 的 
方案 和 原 基础 的 椭圆 曲线 签名 方案 均 含有 5 次 数 乘 运算 ， 不 同 
在 签名 方案 中 ， 当 攻击 者 使 用 前 而 的 签名 信息 或 者 之 前 发 。 的 在 于 本 文 的 方案 中 不 需要 求 逆 运 算 ， 只 是 相应 地 多 了 2 次 点 
送 过 的 签名 信息 再 次 发 送 给 接收 验证 节点 时 ， 验 证 节点 就 无 法 ”加 运算 ， 而 根据 Brown 等 人 ”的 粗略 估计 ， 求 逆 运 算 与 乘法 运 
判断 该 签名 消息 是 否 是 新 鲜 的 ， 攻 击 者 就 可 以 进行 重 放 攻击 。 算 “ 带 快速 中 模 运算 ) 的 开销 比 是 80:1， 求 和 运算 的 开销 是 运 
而 一 般 情况 下 都 是 通过 时 间 玲 来 解决 这 个 问题 ， 但 是 时 间 蕉 对 。“ 算 当中 最 小 的 相 比 于 求 逆 运 算 可 以 忽略 不 计 ， 因 此 用 不 需要 求 
系统 要 求 相对 而 计 是 绞 言 的 ， 壳 要 极 强 的 时 名 同步 ， 无 线 体 域 。 闻 送 算 的 在 线 离 线 椭圆 曲 线 签名 方案 ， 存 在 强大 的 计算 优势 ， 
nt ne 同时 在 未 确定 加 密 消息 之 前 先 做 离线 加 密 计算 ， 确 定 加 窗 
ee 的 消息 和 身份 公 钥 后 再 做 在 线 加 密 计算 ， 使 得 在 线 阶 段 消耗 较 
应 答 骆 起， 即 发 送 广 节 皮 选择 _ 个 随机 数 ， 利 用 双方 节点 的 其 ， 少 的 资源 ， 同 时 离线 阶段 进行 完 计算 就 可 以 释放 内 存 资源 ， 这 
享 密 钥 传送 给 接收 方 , 相 应 的 接收 方 对 随机 数 进行 简单 的 运算 ，。 各 方案 对 于 计算 能 力 有 限 的 体 域 网 而 言 旦 非常 有 用 的 。 

再 使 用 共享 秘 钥 加 密 运算 后 的 结果 返还 给 节点 A， 这 就 说 明 接 5 ” 结束语 

收 方 知道 这 个 随机 值 ， 同 时 也 保证 了 发 送 消息 的 新 鲜 性 。 

5) 轻 量 级 


一 ; 


本 文通 过 分 析 顶 圆 曲线 签名 方案 的 流程 ， 研 究 了 该 方案 所 
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存在 的 问题 ,包括 接收 方 否认 和 存在 求 逆 运 算 使 得 运算 量 偏 大 。 


针对 以 上 所 存在 的 问题 , 提出 了 一 种 新 的 在 线 / 离 线 顶 
名 方案 ， 
的 改进 签名 方案 进行 了 安全 性 分 析 ， 证 
造 、 不 可 人 否认、 抵 种 


椭 


线 \ 离 线 椭圆 | 


线 签 


天 


对 该 方案 签名 流程 进行 了 详细 的 描述 。 最 后 对 所 提 
了 该 方案 具有 不 可 伪 
重 放 攻击 、 轻 量 级 的 优点 ， 同 时 和 传统 的 


澡 


加 曲线 签名 方案 进行 了 运算 量 的 对 比 ， 表 明 本 文 所 提出 的 在 
线 签名 方案 由 于 取消 了 求 逆 运算 , 存在 强大 的 计 


算 优势 ， 更 适合 于 体 域 网 的 应 用 。 
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